在DDoS攻擊中，網絡犯罪分子會將大量電子請求或其他網絡流量發送到目標企業的網站、Web應用程序或網絡中，目的是擊潰企業處理這些請求的能力，從而關閉其網站，以使合法用戶無法再使用該服務。如果攻擊破壞了許多終端依賴的通用服務，例如域名系統(DNS)服務，那么一次攻擊甚至可能會影響多個企業的網站或服務。

除勒索軟件、網絡釣魚、商業電子郵件欺詐(BEC)和憑據填充攻擊外，過去幾個月中，另一種形式的網絡安全威脅正呈現不斷攀升的趨勢：勒索式DDoS(RDoS)攻擊。網絡犯罪分子要求目標組織支付大量贖金，以換取不發動旨在降低其網絡性能的分布式拒絕服務(DDoS)攻擊。

2020年發生的11起最大的DDoS勒索網絡攻擊事件導致受害組織花費了近1.44億美元用于支付贖金、調查取證以及重建其應用程序。鑒于攻擊媒介日趨復雜化和多樣化，2020年第三季度的DDoS勒索攻擊比2019年激增了50%。

什么是勒索式DDoS(RDoS)攻擊?

在DDoS攻擊中，網絡犯罪分子會將大量電子請求或其他網絡流量發送到目標企業的網站、Web應用程序或網絡中，目的是擊潰企業處理這些請求的能力，從而關閉其網站，以使合法用戶無法再使用該服務。如果攻擊破壞了許多終端依賴的通用服務，例如域名系統(DNS)服務，那么一次攻擊甚至可能會影響多個企業的網站或服務。

DDoS攻擊已經存在了很長時間，并且通常被用作轉移注意力的“煙幕”，旨在將注意力從單獨的攻擊中移開或是發送政治信息。在最近的DDoS攻擊浪潮中，網絡犯罪分子似乎正在利用近來勢頭正盛的勒索軟件活動來尋求直接的經濟利益。

DDoS攻擊也正變得越來越便宜且易于實施，網絡犯罪分子甚至可以在暗網上租用DDoS服務來發動大規模攻擊。該服務易于使用，甚至會為回頭客提供會員計劃。DDoS服務的價格因目標資源的豐富程度而異，針對受保護網站的攻擊費用也僅需400美元。

最近的DDoS勒索運動

在過去的幾個月中，成千上萬的公司收到了勒索電子郵件，郵件稱“如果沒有用比特幣支付六位數的贖金，就將遭受到嚴重的DDoS攻擊”。這些攻擊通常遵循相同的模式：

電子郵件

首先，一家公司收到來自威脅參與者的電子郵件，該電子郵件聲稱與臭名昭著的復雜網絡犯罪組織(例如Lazarus或Fancy Bear)有從屬關系。但實際上，這些電子郵件的發件人更有可能是獨立的網絡犯罪分子，他們以知名犯罪組織的聲譽進行交易，以樹立信譽并表現出更強大的威懾性。這些電子郵件通常是在首次DDoS攻擊發生前約15分鐘從加密的電子郵件服務(如ProtonMail)發送的。但是，目標通常并不知道勒索通知，因為該電子郵件可能會被公司的垃圾郵件過濾器捕獲，或是接收該電子郵件的人正在忙碌或休假而將其忽略掉。

該電子郵件解釋稱，最初的小型攻擊是威脅行為者能力的證明。如果6天內未能支付六位數的比特幣贖金，攻擊者將發動第二輪DDoS攻擊，這次攻擊強度將足以破壞企業核心運營并對其造成聲譽損失。除了將贖金金額發送到提供的比特幣錢包外，通常沒有其他與威脅行為者進行溝通或協商的途徑。

初始攻擊

在收到初始勒索電子郵件后約十五分鐘，威脅行為者通常會進行DDoS演示攻擊。這些攻擊的強度各不相同，范圍從每秒幾Gbps到峰值300 Gbps，通常持續幾個小時。在這些初始攻擊過程中，一些公司在連接虛擬專用網絡網關、電子郵件客戶端、基于聊天的協作平臺(例如Microsoft Teams)以及其他核心服務時會出現性能問題。這些攻擊通常集中在后端基礎架構上，并且來自多種攻擊媒介。攻擊者似乎正在實時監視攻擊和攻擊技巧期間的影響，以規避緩解措施。

在一些情況下，攻擊者還將試圖破壞目標的域名系統(DNS)服務器，從而損害目標通過其設備訪問Internet的能力。這種攻擊形式破壞了網站或應用程序對合法互聯網流量的響應能力。DNS服務器通常由專門的提供商托管在組織外部。一些DNS提供商可能沒有與公司網絡相同級別的DDoS防護，而其他DNS提供商則采用了完善的DDoS預防方法，該方法可以檢查入站流量，檢測和丟棄惡意流量，并且僅將合法流量轉發給公司。攻擊者還通過“booter”服務擴大了攻擊范圍，這些服務具有隱藏攻擊源并提高其效力的作用。

此外，攻擊者還一直在進行IP欺騙，該欺騙活動將垃圾流量從看似來自目標網絡內部的源地址發送到目標，從而通過使電子郵件基礎架構之類的服務被DDoS緩解服務不當地列入黑名單而造成滋擾。

如何應對勒索式DDoS攻擊?

通常情況下，黑客會發送勒索通知，威脅目標組織即將發生的攻擊行為。他們可能會“炫耀”之前的攻擊戰績，或者聲稱與Lazarus Group以及Fancy Bear等黑客組織有從屬關系。除此之外，勒索通知中還會提及付款期限和付款操作指南。

如果處理得當，就可以遏制勒索攻擊的不利影響。讓我們看下切實可行的一些行動方案：

檢查演示攻擊：有時候，黑客會進行一次小型攻擊以證明其實力。如果勒索通知中提到相同的內容，建議組織先檢查網絡日志中是否存在任何流量高峰，以證明是小規模攻擊。

員工培訓：勒索攻擊是一場數字游戲。勒索通知通常會發送到大量公開的電子郵件地址中。由于您的任何員工都可能收到此類郵件，因此，重要的是對他們進行教育，以防他們受到威脅。此外，組織還必須建立清晰的溝通和所有權界定，以建立快速有效的應對機制。

永遠不要支付贖金：向犯罪分子支付贖金永遠是無效的。它可以暫時地阻止攻擊，但卻不能保證這種勒索行為未來不會繼續。向這些非法組織屈服無疑于被其標記為“軟柿子”，這也就意味著你更有可能再次淪為其目標。其次，向攻擊者支付贖金等同于為其未來的犯罪行為提供資金支持，并為驗證其攻擊方法有效性樹立了先例。原則上來說，投入更多資金來減輕風險遠勝于選擇支付贖金，因為長遠來看，這不僅對您的業務甚至對整個行業來說都將變得更具成本效應。

應對虛假威脅：在某些情況下，勒索通知可能并不可信，企業最終無緣無故地損失了大量資金。因此，強烈建議永遠不要支付贖金，而應該專注于加強組織的網絡安全措施。話雖如此，任何安全威脅都必須得到認真對待。最好的方法就是投資DDoS保護工具。

通用保護策略

減輕勒索式DDoS攻擊涉及通過采取下述步驟來保護現場服務器和網絡設備：

檢測預警信號：為了減輕勒索DDoS攻擊的危害，及時檢測到預警信號非常關鍵。首先，請密切關注網站的實時流量。有一些網站安全解決方案可以幫助您實現這一點。甚至可以通過打開實時設置來使用Google Analytics檢查實時流量。您還可以查看網站的數據使用情況統計信息，以了解數量是否激增。如果使用率異常高，則可能表示受到了攻擊。

安裝Web應用程序防火墻：由于此攻擊的目標是Web服務器，因此可以使用Web應用程序防火墻之類的安全措施。您也可以在網站上使用防火墻插件來監視傳入流量并阻止任何可疑請求。聘請專業人員實施DDoS安全措施也是有效遏制問題的好方法。

擴展DDoS緩解措施：DDoS緩解措施通常包括實施措施，以保護公司的現場服務器和網絡設備免受DDoS攻擊，并包括檢測異常流量和將惡意流量重定向到網絡之外的行為。進行這些DDoS攻擊的威脅行為者傾向于將目標IP地址指定為當前不在公司DDoS緩解范圍之內的IP地址。因此，一些公司發現，通過將緩解措施擴展到盡可能多的公司IP地址、Web服務、面向Internet的基礎結構和DNS服務器，他們能夠防御非常復雜的DDoS攻擊。

基于云的DDoS緩解：根據初始攻擊的強度以及企業有效響應的能力，一些公司已轉向基于云的DDoS緩解服務。這些服務具有“始終在線”監視網絡流量的優勢，可以在幾秒鐘內發現問題并響應攻擊。

自定義DDoS緩解措施：在最近的一些攻擊中，犯罪分子通過分散攻擊而不會觸發DDoS緩解閾值，從而在造成破壞的同時避免了被發現。通過與緩解措施提供商合作，自定義緩解閾值以識別并防止這種特定類型的攻擊，公司將能夠防止這種情況的發生。

與ISP合作：為了應對DDoS攻擊，許多公司已與其互聯網服務提供商(ISP)緊密合作，以確保他們能夠在活動期間控制網絡流量。在最近的DDoS攻擊中，Verizon和AT&T都能夠減輕目標公司網絡服務的中斷。此外，ISP可能還擁有執法部門希望用于調查的某些法證數據。

緊急措施：萬一遇到威脅，你可以暫時關閉網站以阻止攻擊。在重新啟用它之前，請務必采取預防措施，例如安裝防火墻。

來源：51cto.com    本文翻譯自：https://wp.nyu.edu/compliance_enforcement/2020/12/23/the-rise-of-ddos-ransom-attacks-how-to-prevent-and-respond/ https://www.infosecurity-magazine.com/blogs/ddos-ransom-attacks/如若轉載，請注明原文地址。